Die negativen Auswirkungen von Cyber-Bedrohungen auf Organisations-Abläufe, Reputation und Umsatz bereiten kleinen und mittleren Unternehmen (KMU) zunehmend Kopfzerbrechen. Vor allem menschliches Fehlverhalten bleibt eines der größten Sicherheits-Risiken. Grundlegende Themen wie ‚Phishing‘ und ‚Passwort-Sicherheit‘ werden in Mitarbeiter-Schulungen oft nur unzureichend behandelt. Zu diesen Erkenntnissen gelangt eine aktuelle Studie des IT-Anbieters Sharp.
„Fälle von Cyberkriminalität und IT-Sicherheitsvorfälle, die es in die Schlagzeilen schaffen, basieren oft auf technisch komplexen Angriffs-Methoden und -Vektoren. Für Entscheider in KMU sind jedoch die alltäglichen, potenziellen Risiken und Schwachstellen, die durch ungeschützte MFPs oder leichtfertiges Verhalten der eigenen Mitarbeiter entstehen, oftmals die relevanteren“, kommentiert Kai Scott, Geschäftsführer der Sharp Business Systems Deutschland GmbH in Köln, die Ergebnisse der Studie. Das Unternehmen gab eine Umfrage unter 5.770 IT-Entscheidern und Beschaffungs-Verantwortlichen in europäischen KMU in Auftrag.
Zu den Resultaten für Deutschland: Hierzulande wurden insgesamt 501 Personen konsultiert. Den befragten Entscheidern zufolge stellen Mitarbeiter, die in Sachen IT-Sicherheit unzureichend informiert sind, den zweitgrößten Risikofaktor (39 Prozent) für ihr Unternehmen dar – noch vor gezielten Angriffen oder mangelnden Schutzmaßnahmen. Nur fehlende Software- und System-Updates wiegen noch schwerer (40 Prozent).
Trotz dieser Bedenken und der Wichtigkeit, die umfangreichen Sicherheits-Schulungen zugemessen wird, zeigt die Untersuchung, dass KMU in ihren entsprechenden Mitarbeiter-Trainings einige der wichtigsten Themen nicht ausreichend behandeln. So werden Bedrohungen wie Viren und Phishing in den Unternehmen größtenteils nicht besprochen. Gleiches gilt für Datenverluste und Angriffe, die aufgrund schwacher Passwörter erfolgen – obwohl jeweils bis zu einem Drittel der deutschen KMU von genau diesen Themen betroffen ist.
Nur etwa vier bis fünf von zehn Schulungen befassen sich mit Passwort-Sicherheit (41 Prozent), dem Herunterladen von Dateien (42 Prozent), dem sicheren Umgang mit Daten (48 Prozent), Netzwerk-Sicherheit (40 Prozent) oder mit den Grundlagen des An- und Abmeldens (41 Prozent). Bedenkenswert ist außerdem, dass trotz einer Zunahme von hybriden Arbeitsmodellen mit entsprechend komplexerer Bedrohungslage nur rund die Hälfte der KMU ihre Schulungen entsprechend angepasst hat. Lediglich bei 37 Prozent spielt das Thema ‚hybrides Arbeiten‘ in Schulungen überhaupt eine Rolle. Und nur knapp ein Viertel der Unternehmen bildet die Belegschaft hinsichtlich Drucker- (25 Prozent) und Scanner-Sicherheit (21 Prozent) weiter.
Jedes fünfte KMU war beispielsweise bereits von Sicherheits-Verletzungen betroffen, die über einen MFP erfolgten. Die Bedrohungslage im MFP-Bereich wird durch die zunehmende Nutzung hybrider Arbeitsmodelle verstärkt. Besonders der oftmals mangelhafte Schutz von Netzwerk-Verbindungen sowie menschliches Fehlverhalten bereiten den IT-Entscheidern Sorgen. Mehr als ein Drittel der Befragten gibt an, dass ihr Unternehmen über keinerlei druckerspezifische IT-Sicherheits-Maßnahmen verfügt.
„Wichtige erste Schritte für Unternehmen wären zum Beispiel, die Software ihrer Scanner und Drucker auf dem neuesten Stand zu halten und regelmäßige Back-ups durchzuführen. Zudem sollten sie einheitliche Sicherheits-Standards für hybrid arbeitende Teams einführen und ihre Mitarbeiter für MFP-relevante Sicherheits-Themen sensibilisieren. Das fängt zum Beispiel damit an, dass vertrauliche Ausdrucke und Kopien nicht unbeaufsichtigt im Ausgabefach des MFPs verbleiben oder ungesichert entsorgt werden dürfen“, erläutert Scott.
40 Prozent der deutschen Studien-Teilnehmer machen sich aktuell größere Sorgen um Cyber-Bedrohungen als noch vor einem Jahr. Über ein Drittel der Unternehmen berichtet, in den vergangenen zwölf Monaten in irgendeiner Form von einer Sicherheits-Verletzung betroffen gewesen zu sein. Bei diesen handelte es sich vor allem um Phishing (37 Prozent), Malware (34 Prozent), Netzwerk-Schwachstellen (32 Prozent) sowie Datenverlust und Cloud-Sicherheitslücken (jeweils 31 Prozent).
Darüber hinaus haben zwei Drittel der IT-Verantwortlichen kein Vertrauen in die Fähigkeit ihres Unternehmens, mit Sicherheits-Risiken angemessen umzugehen oder diese präventiv zu reduzieren. Bemerkenswert ist dabei, dass selbst niedrigschwellige Sicherheits-Maßnahmen noch nicht allgegenwärtig sind (-> Grafik 5). So verfügen lediglich 58 Prozent der Unternehmen über Firewalls. Und weniger als die Hälfte bestätigt, stringente Passwort-Richtlinien zu haben oder einen VPN-Zugang zu nutzen.
Bezüglich möglicher Auswirkungen einer IT-Sicherheitsverletzung auf ihr Unternehmen teilten die Befragten mit, dass schwindendes Kundenvertrauen (42 Prozent), finanzielle Einbußen (41 Prozent) sowie Reputations-Schäden (38 Prozent) ihre größten Sorgen sind.
